Wintermute 悬赏 1.6 亿美元的 DeFi被黑
- Wintermute 的首席执行官 Evgeny Gaevoy 在昨天遇到价值 1.6 亿美元的 DeFi 黑客攻击后,通过 Twitter 分享了更多细节。
- Gaevoy 还向黑客提供 10% 的赏金,以换取被盗资金。
在昨天遭遇了价值 1.6 亿美元的大规模 DeFi 黑客攻击后,Wintermute 的首席执行官 Evgeny Gaevoy 在 Twitter 上分享了有关该漏洞的更多细节,同时对被黑客窃取的资金提供 10% 的赏金。
Wintermute CEO 悬赏 1000 万美元给黑客
在一个综合性的推特帖子中,Gaevoy 公布了有关最近导致 Wintermute 损失 1.6 亿美元资金的 DeFi 漏洞的详细信息。 攻击针对的是该公司用于 DeFi 自营交易操作的钱包。 Gaevoy 后来强调了该公司的内部 CeFi 和场外交易业务如何没有受到影响,并且与其 DeFi 程序是分开的。
我们在 Cefi 和 Defi 中的内部系统以及任何内部或交易对手数据均不受影响
— 一厢情愿的愤世嫉俗者(@EvgenyGaevoy) 2022 年 9 月 20 日
Gaevoy 进一步透露,这次黑客攻击很可能与一种亵渎类型的漏洞利用有关,该漏洞使用户能够创建多个虚荣 ETH 地址。 根据 Blockworks Research 的说法,“Profanity 允许用户从 4B 种子私钥中随机选择 1 个。 然后用户可以在从私钥派生公钥之前确定性地将其扩展为 2M 私钥。 亵渎然后循环通过密钥,直到用户获得所需的 ETH 地址。 “
3/ Wintermute 利用该工具创建了一个带有 7 个 0 的地址,由于字节码处理方式的优势,这使得交易费用稍微便宜一些。
— Blockworks 研究 (@blockworksres) 2022 年 9 月 21 日
该研究平台进一步揭示了一篇 1inch 博客文章早些时候如何在亵渎钱包生成器工具中发现了一个潜在的漏洞,该漏洞后来可能导致数百万美元的损失。 与此类似,该平台报告称,这正是黑客在循环获取该公司 ETH 地址的剩余数字之前可能找到了 Wintermute 的虚名地址的方式。
1/ 上周,一个 @1英尺 博客文章指出 Profanity 钱包生成器工具中的一个错误,可能导致数亿美元被盗。
Profanity 使用户能够创建虚荣 ETH 地址,类似于为汽车选择自定义车牌的方式。 pic.twitter.com/gHXzG5Dcwz
— Blockworks 研究 (@blockworksres) 2022 年 9 月 21 日
据 CNBC 报道,在价值 1.6 亿美元的 DeFi 黑客攻击中,共有 90 种不同的资产被黑客窃取,其中近 1.14 亿美元是 USDC 和 USDT 稳定币的形式。 目前,Gaevoy 正在向黑客提供 1000 万美元的赏金,并通过 Twitter 分享了一个加密货币地址,以便诈骗者做出回应并转移公司所有被盗资金。
对于黑客,我们提供 10% 的资金作为赏金。 为方便起见,我们建议您将通过漏洞利用获得的所有资金(节省 1600 万美元 USDC)转移到:
0x4f3a120E72C76c22ae802D129F599BFDbc31cb81— 一厢情愿的愤世嫉俗者(@EvgenyGaevoy) 2022 年 9 月 20 日
Wintermute 目前处于危机模式。 该公司欠多家 DeFi 贷方近 2 亿美元,其中包括 TrueFi 发行的 9200 万美元的 Tether 贷款,欠 Maple Finance 的 7500 万美元债务,以及欠 Clearpool 的另外 2240 万美元。
图片:温特穆特/推特